Attualmente nelle aziende è prassi normale dotarsi per la propria competitività, quand’anche non fosse già dovuto per esigenze di legge, di certificazioni sui sistemi di gestione. Da qualche anno le certificazioni richiedono un approccio operativo basato sul rischio d’impresa: tutte le azioni interne devono essere legate agli obiettivi aziendali e solo dalla misura delle prestazioni attuali e dal rischio futuro possiamo dimostrare la capacità al miglioramento continuo. Quest’ultimo è un requisito intrinseco a qualunque sistema di gestione.
La valutazione del rischio, a prima vista sembra un puro costo ma non lo è. è parte integrante dei processi interni e deve essere considerato sistematicamente nel loro disegno senza cadere nella tentazione di trattarlo come un momento formale necessario alla sola visita di verifica, e poi scordarlo. In quanto al costo di analizzare sistematicamente i rischi aziendali, questo è compensato dai vantaggi che dà. Fondamentale è un risultato operativo idoneo a giustificare la necessità o meno di un’azione in quanto essa è di impatto sugli obiettivi aziendali. È una metrica che serve a ripartire con ragionevolezza le risorse aziendali evitandone accessi o carenze.
Ne consegue che la giusta visione nell’adottare un’analisi di rischio non è il bisogno di soddisfare un entità astratta (esempio, la certificazione) ma la consapevolezza che si sta migliorando il proprio sistema di controllo interno. Il quesito è sempre lo stesso: come farlo.
L’analisi del rischio nello standard ISO 31000
Nelle piccole aziende, mono prodotto e singola sede, la risposta arriva solo da un foglio elettronico o da un servizio cloud mirato allo specifico business. Non è giustificato un investimento in sistemi diversi perché sarà con buona probabilità una sola persona a occuparsi di questo tema, con interviste ad altre persone in caso di ulteriori contributi necessari all’analisi.
Invece in contesti aziendali, distribuiti su varie famiglie prodotto e/o su varie sedi, per distinti sistemi di gestione, quali, qualità, ambientale, sicurezza lavoro, sicurezza informatica, privacy, è necessario ricorrere a una metodologia che consenta sinergie nel processo di valutazione per eliminare le inevitabili ridondanze.
Il primo punto da considerare è il definire un’unica analisi del rischio, comune a tutti i sistemi di gestione, per ogni entità da certificare. Non solo una per ciascuna entità ma lo schema generale di analisi deve essere omogeneo tra tutte per consentire un consolidato centrale e permetterne il riesame e fornire una vista complessiva al top management (per dimostrare l’allineamento agli obiettivi di business).
Cosa dobbiamo fare è illustrato chiaramente nello standard ISO 31000:2018 relativamente al processo di risk assessment (clause 6) [figura 1]. Come lo andiamo a fare è ciò che inciderà sul costo e sulla qualità dei risultati finali che si ricorda devono, per principio, creare valore (clause 4).
figura 1
Analisi del rischio in tre fasi principali
Vista la mole di dati da trattare nell’analisi del rischio e la necessità di operare su più locazioni con più persone, al lavoro anche contemporaneamente, sottintende che un semplice foglio elettronico non è più sufficiente. Però questo non comporterà ulteriori costi in quanto database e web server sono disponibili come open source ma andiamo per ordine. Sono tre le fasi principali da considerare:
– definizione del modello organizzativo e delle metriche
– identificazione dei rischi da analizzare
– valutazione dei propri rischi e riesame in modo iterativo
La prima fase è di natura organizzativa ed è fatta solo per disegnare il processo, definire le metriche di calcolo e fornire il criterio di accettazione del rischio. Un metodo semplice e chiaro utilizzabile per la definizione dei ruoli e delle responsabilità è la matrice RASCI, meglio se integrata con una sintesi delle interazioni tra i ruoli. Questo favorisce la comunicazione interna e aiuta l’iterazione del processo.
La seconda fase è necessaria per identificare quali sono i rischi da tenere sotto controllo per l’azienda. Anche in questo caso non ci si deve inventare nulla. Ci sono dei metodi consigliati ma quello che più si presta ad una gestione semplice è l’analisi SWOT, ossia è un metodo per identificare tutti i fattori critici, interni o esterni, necessari al raggiungimento degli obiettivi. Questi fattori saranno la causa degli eventi che andranno ad influire sull’analisi del rischio.
Come creare una SWOT analisi con facilità è un punto interessante da affrontare. Chi deve compiere questa analisi, è il risk owner e sicuramente svolge un mestiere diverso dal risk management. Fondamentalmente è un responsabile di un processo aziendale e quindi va guidato nella stesura degli elementi da inserire nella definizione del contesto. Un buon modo di procedere è preparare dei cataloghi centrali con le sole tipologie di elementi di interesse per l’azienda [figura 2]. Il risk owner compirà poi la selezione e personalizzazione dell’elemento. In tal modo risulterà focalizzato sugli elementi considerati di interesse per l’azienda e in modo semplice e veloce creerà i cataloghi che userà nella sua analisi.
figura 2
La terza fase è svolta iterativamente, ad esempio, dopo dei cambi significativi di processo o al cambio degli obiettivi assegnati. Il momento raccomandato per farlo è durante le riunioni periodiche di avanzamento del business. Questa è una buona scelta perché il management deve approvare i piani di azione e tutte le parti interessate sono attorno al tavolo e quindi la decisione può essere subito presa e verbalizzata.
L’analisi di rischio è sintetizzabile come un record codificato che parte da un bene (tangibile o intangibile) da proteggere, prosegue con gli eventi che influenzano gli avvenimenti futuri, poi i controlli in atto e quindi una prima valutazione del rischio [figura 3]. Se non è stata raggiunta l’accettazione del rischio, un set di contromisure andrà aggiunto fino alla definitiva accettazione del rischio stesso. Descrizioni e spiegazioni sui beni, sulla loro importanza, sulle conseguenze e sulle azioni intraprese completano il record.
figura 3
Come nota alla compilazione del record di analisi del rischio si può suggerire l’uso di cataloghi personalizzabili sia dei beni da proteggere che delle azioni (controlli, contromisure) per attuare la protezione. Le azioni vanno personalizzate con l’owner dell’azione e lo stato di avanzamento. L’uso di liste selezionabili agevola la compilazione, permette il consolidamento e semplifica la validazione del dato.
Il costo del sistema
A questo punto è rimasto in sospeso il costo del sistema, se realmente è significativo o esistono soluzioni low cost ma di qualità. Ci sono dei prodotti già preconfezionati, da adattare, per i quali ci sono da considerare i costi licenza e di gestione. È una strada ma nel caso sia disponibile in azienda una componente interna ICT con competenze di programmazione, si può anche percorrere la strada a costo licenze nullo. Per quante siano numerose le entità ed elevato il dettaglio richiesto, un server virtuale (o un piccolo server) è perfettamente idoneo a gestire sia il database dedicato che il web server.
Trattandosi di un processo non critico per disponibilità di servizio, viste anche le esigue dimensioni dei dati, l’immagine integrale del server può essere salvata mensilmente o trimestralmente con export settimanale dei soli dati. Ne consegue che non è necessario un piano di restore complicato ma la sola disponibilità di una nuova piattaforma di ripartenza, senza costi di configurazione e perdita dato massima di una settimana. Per questa tipologia di processo, una settimana è quasi sempre ragionevole ma in caso contrario si può alzare la frequenza di back up per ridurre le perdita.
Per concludere, l’azienda che investe nella propria digitalizzazione, avrà probabilmente anche le competenze per crearsi gli strumenti utili a gestire questo processo in completa autonomia, a costi limitati oltre che a ritagliarli esattamente sulle proprie esigenze. Questo aiuterà il raggiungimento dei propri obiettivi ed è in linea i principi di creazione del valore (“customized”).
